若要啟用 [帳號封鎖] 功能,必須對映特定的屬性,而這些屬性在目錄伺服器與 Active Directory 中並不相同。您必須啟用 [帳號封鎖]。AD 與目錄伺服器的密碼策略必須相同。使用此配置時,封鎖與解除封鎖事件可在 Active Directory 與目錄伺服器之間雙向傳送。
Identity Synchronization for Windows 可在 Active Directory 與目錄伺服器之間進行下列事件的同步化:
Active Directory 至目錄伺服器的封鎖事件
目錄伺服器至 Active Directory 的封鎖事件
Active Directory 至目錄伺服器的手動解除封鎖事件
目錄伺服器至 Active Directory 的手動解除封鎖事件
啟用帳號封鎖功能前,兩個位置上的屬性 lockoutDuration 均應設定為相同的值。請確定分散式設定的系統時間也是一致的。否則,若 lockoutDuration 小於系統日期之間的差值,封鎖事件即會過期。
若要啟用帳號封鎖同步化,必須對映屬性 accountUnlockTime (目錄伺服器) 與 lockoutTime (AD)。您可以於載入具有 passwordObject 物件類別的模式後,在主控台中選取 accountUnlockTime。
Active Directory 與目錄伺服器資料來源應使用類似的帳號封鎖策略。
Active Directory 與目錄伺服器資料來源的帳號封鎖持續時間應設定為相同的值。
Active Directory 資料來源上的 LockoutTime 應對映至目錄伺服器資料來源上的 AccountUnLockoutTime。
如需安裝的詳細資訊,請參閱軟體隨附的讀我檔案。